“Privacywet maakt omgaan met elektronische dossiers onmogelijk” las ik vorige week in de post van Stefan Haensel. Hij reageerde op de boete die de Autoriteit Persoonsgegevens opgelegd heeft aan het OLVG in verband met het overtreden van de AVG. Als liefhebber van de AVG – ja, dat is echt mogelijk – en kan-wel-jurist in de zorg kan ik niet anders dan hierop reageren.
Het OLVG heeft een boete opgelegd gekregen, omdat ze onvoldoende passende beveiligingsmaatregelen had getroffen. Maar wanneer is sprake van een voldoende passend beveiligingsniveau? Het gaat erom dat je de risico’s inherent aan de verwerking beoordeelt en dat je maatregelen treft om die risico’s te beperken. Daarbij moet je dan rekening houden met onder meer de stand van de techniek, de uitvoeringskosten in relatie tot de risico’s en de aard van de te beschermen gegevens. De NEN-normen (7510, 7512 en 7513) zijn in ieder geval een passend beveiligingsniveau, en via wetgeving overigens ook een verplicht kader, voor de zorg. Tweefactor authenticatie voor toegang tot het EPD en het regelmatig beoordelen van de logbestanden zijn een vereiste. Daar was onvoldoende sprake van in het geval van het OLVG, dus een boete. Einde verhaal, toch?
Nou niet helemaal.
Er speelt nog iets anders. De AP weegt namelijk ook mee dat het OLVG zichzelf had gecommitteerd aan de NEN-normen en de AVG. In de beleidsdocumenten van het OLVG staat dat het beleid gebaseerd is op deze normen, en dat zij er naar streeft om hier aantoonbaar aan te voldoen. Ten aanzien van de logging was zelfs expliciet opgenomen dat elke 4 weken een controle zou plaatsvinden. Maar vervolgens deed het OLVG in de praktijk iets anders. Zowel ten aanzien van de 2FA als en het controleren van de logbestanden. Daar ging het mis. Natuurlijk kan een jurist later in een procedure proberen recht te praten wat krom is, maar dat lukt niet altijd. Want wie A zegt, moet eigenlijk ook gewoon A doen, en niet B, C of D. Want als je B had willen doen, dan had je dat moeten opnemen in je beleid. En indien afwijkend van de norm ook goed moeten motiveren.
Beleid en werkelijkheid kwamen bij het OLVG dus niet overeen. En dat kan je als organisatie in de problemen brengen. In dit geval voor een bedrag van 440.000 euro. Maar komt dat door de AVG? Nee, in mijn ogen niet. Je hoort vaak dat de privacywet het werken in de zorg onmogelijk maakt, of andersom dat het in de zorg onmogelijk is om aan de juridische eisen te voldoen. Maar dat is niet waar. Echt niet. Het is de organisatie zelf die dat doet. Echt waar.
Het zit zo. Zowel de AVG als de NEN-normen vragen om een concretisering, een nadere invulling. Dit moet je als organisatie vastleggen in je beleid. So far, so good. Want dat doet elke organisatie netjes. Maar de grote vraag is hoe organisaties dat doen. Mijns inziens op de verkeerde manier. Er wordt gekeken naar de AVG en de NEN-normen, en vervolgens wordt er een algemeen beleid opgesteld. En uitgerold in de hele organisatie. De mooie bloemenperkjes. Maar vervolgens blijkt het in de praktijk helemaal niet te werken. Of heel ingewikkeld of omslachtig of tijdrovend of medisch onveilig te zijn. Dan ontstaan de illegale paadjes door de bloemenveldjes heen. En zeg je dus A en doe je B. En dat kan je als organisatie echt in de problemen brengen.
Een heel simpel voorbeeld uit de praktijk. In een zorginstelling staat op elke kamer specifieke medische onderzoeksapparatuur met een daarbij behorende computer. Die computer wordt enkel gebruikt in combinatie met dat apparaat. Elke keer dat een andere medewerker inlogt op dat apparaat kan dat betekenen dat er een update moet worden uitgevoerd, dat instellingen niet meer kloppen of dat de computer na 5 minuten op stand-by gaat in plaats van aan blijft en dergelijke. Dat komt doordat software en instellingen vaak gekoppeld zijn aan accounts en niet aan de computer. Dat wordt in de praktijk opgelost door zo’n computer een eigen kamer-inlog te geven, zodat het allemaal beter en sneller werkt. Op zich logisch, maar of dit ook opgenomen is in het beleid van deze zorginstelling? Ik betwijfel dat. Terwijl het wel de praktijk is.
Maar hoe breng je praktijk en beleid goed samen?
Het allerbelangrijkst is begin bij het eind. Wat is er nodig om goede en veilige zorg te kunnen leveren. In de zorg moet dit met stip op één staan! Welke data moet voor wie op welke momenten toegankelijk zijn. Welke apparaten gebruik je daarvoor en hoe moeten deze toegankelijk zijn. Welke risico’s zijn er hierbij zowel op het gebied van patiëntveiligheid als ten aanzien van de bescherming van persoonsgegevens. Ga uit van de praktijk, maar kijk wel met een kritische blik. Stel regelmatig de vraag of het echt nodig is of dat het ook anders kan, en vraag om motivaties. Die zijn essentieel voor de onderbouwing van je keuzes.
Het tweede punt is kijk verder dan je neus. De AVG staat naast (en is op punten ondergeschikt) aan de WGBO (en andere wetgeving). Je kunt alleen iets zeggen over de benodigde en wenselijke informatiebeveiliging als je ook hebt gekeken naar het gezondheidsrecht en andere rechtsgebieden. De bescherming van persoonsgegevens is geen losstaand item. Het is een onderwerp dat ingebed moet worden in het grotere geheel. Dat betekent dat er sprake kan zijn van tegenstrijdigheden en botsende belangen. En dan moet je keuzes maken, en die keuzes moet je motiveren. En de bescherming van persoonsgegevens staat niet altijd op één, en dat is soms heel goed uit te leggen. Maar dat moet je dan wel doen.
Het derde punt is dat het beleid dienend moet zijn aan de zorg. Nederigheid is hier op zijn plaats. Het beleid is niet leidend, maar volgend. Maar bij het maken van beleid gaat het ook om creativiteit en het zoeken naar mogelijkheden. Om het waarborgen en beschermen van zoveel mogelijk verschillende belangen. Om het hebben van lef en risico’s durven nemen en om het kritisch zijn en niet alles zomaar aannemen. Het gaat om het vinden van een goede balans, die je ook nog eens goed kan uitleggen aan ieder ander.
En dat brengt mij bij het vierde en laatste punt het is allemaal een geheel. De praktijk hangt samen met het beleid en vice versa. De AVG is een onderdeel, net als de WGBO. Patiëntveiligheid (de gezondheid) is net zo belangrijk als informatiebeveiliging (de gegevens). Je kunt niet anders dan het als één geheel benaderen en alle aspecten erbij te betrekken. En dat betekent ook dat je soms keuzes moet maken. En waar je keuzes moet maken, zul je deze ook moeten motiveren. Niet alleen om het uit te leggen aan anderen achteraf, maar vooral ook om jezelf uit te dagen het uit te kunnen leggen vooraf. Want alleen als je dat laatste echt kan, kan je oprecht zeggen dat je goed bezig bent.
Weer even terug naar het OLVG en de AP.
Had het anders kunnen uitpakken voor het OLVG? Ja, maar de eerlijkheid gebied te zeggen misschien ook nee. Als in het OLVG beleid en praktijk op elkaar hadden aangesloten, had dat in ieder geval niet kunnen leiden tot een boete. Maar zou dat voldoende zijn geweest? De AP is namelijk ook duidelijk in de ondergrens. Als je die ondergrens niet haalt, krijg je dan altijd een boete? Ik durf de stelling wel aan dat het soms nodig kan zijn om onder die ondergrens te duiken in het belang van patiëntveiligheid en kwalitatief goede zorg. Dat betekent echter wel een goede afweging van de verschillende belangen én het vastleggen van deze afweging. Een onderzoek naar alle risico’s (en niet alleen die van de bescherming van persoonsgegevens) is dan nodig leidend tot een goede motivering van je keuze. Dat is iets wat je van te voren moet doen, en niet pas achteraf tijdens een procedure. Of de AP (of een andere rechter) je dan volgt in je motivering, daar kan niemand je garanties op geven. Je kan echter niet meer het verwijt krijgen dat je A zegt en B hebt gedaan. En ze zullen moeten motiveren waarom jouw motivering onvoldoende is. Dat laatste heeft de AP nog weinig hoeven doen, omdat er nog weinig vooraf onderbouwd wordt door zorginstellingen. En dat is jammer.
Want pas als je als zorginstelling hebt gezorgd voor een goede motivering en die wordt bot opzij gezet met het argument dat de AVG altijd voor gaat, pas dan kan je in alle oprechtheid zeggen dat de privacywetgeving (of beter gezegd de interpretatie en toepassing van de privacywetgeving) een goede omgang met EPD’s en een goede zorg onmogelijk maakt.
Als kan-wel-jurist in de zorg ga ik graag deze uitdaging aan. Of het nou gaat om autorisaties en beveilingsmaatregelen ten aanzien van je EPD of om het verdere gebruik van data voor onderzoek en ontwikkeling of om betere ketenzorg of noem maar op. Ik kijk naar wat mogelijk is, zodat jij je doelen kan bereiken op een manier waarop goede zorg, patiëntveiligheid, bescherming van persoonsgegevens en informatiebeveiliging samenkomen.
Ga je de uitdaging met mij aan? Stuur een e-mail op josine@dedataverbinders.nl.